配网生产管理信息系统测评报告.docx

资源描述

报告编号：（）信息系统安全等级测评报告系统名称：配网生产管理信息系统被测单位：广东电网公司东莞供电局测评单位：广东电网公司信息中心广州竞远系统网络技术有限公司报告时间：2025年2月23日信息系统等级测评基本信息表信息系统系统名称配网生产管理信息系统安全保护等级二级备案证明编号测评结论基本符合被测单位单位名称广东电网公司东莞供电局单位地址东莞市东城路239号邮政编码 523000 联系人姓名邓雄荣职务/职称安全专职所属部门信息部办公电话移动电话电子邮件测评单位单位名称广州竞远系统网络技术有限公司单位代码粤-001 通信地址广州市天河区龙口东路363号宝供大厦17楼邮政编码 510635 联系人姓名胡欣职务/职称技术经理所属部门等级测评中心办公电话 020-38483680 移动电话 13925001505 电子邮件 hux@ 审核批准编制人编制日期审核人审核日期批准人批准日期注：单位代码由受理测评机构备案的公安机关给出。声明本报告是广东电网公司东莞供电局配网生产管理信息系统的等级测评报告。本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件（或产品）的测评结论。在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。广东电网公司信息中心广州竞远系统网络技术有限公司 2025年2月23日目录信息系统等级测评基本信息表 1 报告摘要 1 1 测评项目概述 2 1.1 测评目的 2 1.2 测评依据 2 1.3 测评过程 3 1.4 报告分发范围 5 2 被测信息系统情况 6 2.1 承载的业务情况 6 2.2 网络结构 6 2.3 系统构成 7 2.3.1 业务应用软件 7 2.3.2 关键数据类别 8 2.3.3 主机/存储设备 8 2.3.4 网络互联设备 8 2.3.5 安全设备 8 2.3.6 安全相关人员 8 2.3.7 安全管理文档 9 2.4 安全环境 10 2.5 前次测评情况 11 3 等级测评范围与方法 11 3.1 测评指标 11 3.1.1 基本指标 12 3.1.2 特殊指标 12 3.2 测评对象 12 3.2.1 测评对象选择方法 12 3.2.2 测评对象选择结果 13 3.3 测评方法 16 4 单元测评 18 4.1 物理安全 18 4.1.1 结果记录 18 4.1.2 结果汇总 21 4.1.3 问题分析 21 4.2 网络安全 21 4.2.1 结果记录 21 4.2.2 结果汇总 26 4.2.3 问题分析 26 4.3 主机安全 27 4.3.1 结果记录 27 4.3.2 结果汇总 31 4.3.3 问题分析 31 4.4 应用安全 32 4.4.1 结果记录 32 4.4.2 结果汇总 36 4.4.3 问题分析 36 4.5 数据安全及备份恢复 37 4.5.1 结果记录 37 4.5.2 结果汇总 38 4.5.3 问题分析 38 4.6 安全管理制度 39 4.6.1 结果记录 39 4.6.2 结果汇总 40 4.6.3 问题分析 40 4.7 安全管理机构 41 4.7.1 结果记录 41 4.7.2 结果汇总 43 4.7.3 问题分析 43 4.8 人员安全管理 43 4.8.1 结果记录 43 4.8.2 结果汇总 45 4.8.3 问题分析 46 4.9 系统建设管理 46 4.9.1 结果记录 46 4.9.2 结果汇总 50 4.9.3 问题分析 50 4.10 系统运维管理 51 4.10.1 结果记录 51 4.10.2 结果汇总 58 4.10.3 问题分析 59 5 整体测评 60 5.1 安全控制间安全测评 60 5.2 层面间安全测评 60 5.3 区域间安全测评 60 5.4 系统结构安全测评 60 5.4.1 整体结构的安全性测评分析 60 5.4.2 整体安全防范的合理性测评分析 60 6 测评结果汇总 61 7 风险分析和评价 63 8 等级测评结论 66 9 安全建设整改建议 67 9.1主机安全 67 9.2 应用安全 67 9.3安全管理机构 67 9.4系统建设管理 68 9.5系统运维管理 68 报告摘要一、测评工作概述广东电网公司东莞供电局配网生产管理信息系统主要实现设备台帐管理、功能位置管理、停电计划管理、巡检缺陷管理、两票流程管理、班组工作管理、供电可靠性等七个部分的业务功能，以及系统参数管理、业务流程管理和业务系统接口三部分系统功能。配网生产管理信息系统的信息系统安全保护等级已定为二级（S2A2G2）。广州竞远系统网络技术有限公司（以下简称广州竞远公司）受广东电网公司东莞供电局的委托，对广东电网公司东莞供电局配网生产管理信息系统进行信息系统安全等级保护测评，现场测评项目组分为技术核查小组及管理核查小组；针对安全技术及安全管理两大方向、十个层面进行了测评与分析。二、等保测评结论综合第4、5、6、7章的测评与分析结果，等级测评结果中存在一些部分符合项或不符合项，但不会导致信息系统面临高等级的安全风险，广东电网公司东莞供电局配网生产管理信息系统的安全保护能力基本符合等级保护二级基本要求。 1 测评项目概述 1.1 测评目的建立信息安全等级保护制度，通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证。协助用户完成等级保护测评工作。 1.2 测评依据信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等级测评。依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》，在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上，针对不同等级的信息系统遵循的不同标准进行综合系统安全测评评审后确定，由等级保护测评机构给予相应的系统安全等级评审意见。主要参考标准如下： q 《信息安全等级保护管理办法》 q 《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008） q 《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008） q 《信息系统安全等级保护测评要求》（报批稿） q 《信息系统安全等级保护实施指南》（报批稿） q 《信息系统安全等级保护测评过程指南》（报批稿） q 《计算机信息系统安全保护等级划分准则》（GB17859-1999） q 《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006） q 《信息安全技术网络基础安全技术要求》（GB/T20270-2006） q 《信息安全技术操作系统安全技术要求》（GB/T20272-2006） q 《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006） q 《信息安全技术服务器技术要求》（GB/T21028-2007） q 《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006） q 《IT主流设备安全基线技术规范》(Q/CSG 11804—2010) q 《广东电网公司信息安全管理办法》(S.00.00.00/G100-0018-0905-5454) 1.3 测评过程信息系统安全等级保护测评过程包括四个阶段。 q 测评申请阶段被测单位向测评机构提出测评申请，测评机构对被测单位的申请材料进行审查，在双方达成共识的情况下，双方签订保密协议、委托书、合同。 q 测评准备阶段测评机构成立项目组后，工作人员到被测单位了解被测评系统的信息，编写信息系统业务调查报告，信息系统规划设计分析报告，与被测单位共同讨论评测方案，评测工作计划，达成共同认可的评测方案和评测工作计划。 q 测评检查、测试阶段在进入现场检测测试阶段时，测评机构项目组成员在参照系统体系建设相关资料（系统建设方案、技术资料、管理资料、日常维护资料）后，对测评单位进行安全管理机构检查、安全管理制度检查、系统备案依据检查、技术要求落实情况测评、定期评估执行情况检查、等级响应、处理检查、教育和培训检查，生成管理检查记录、技术检查记录和核查报告。 q 测评综合分析阶段测评机构最后进行核查结果分析，等级符合性分析、专家评审，生成等级测评报告和安全建议报告具体流程如下图： 1.4 报告分发范围广东电网公司东莞供电局配网生产管理信息系统等级测评报告的分发控制如下： q 等级测评报告正本的份数为一份，副本两份； q 等级测评报告的分发范围为广东电网公司东莞供电局信息部及广州竞远公司。 2 被测信息系统情况广东电网公司东莞供电局配网生产管理信息系统，通过逻辑隔离措施进行了安全控制规划，形成了一个或多个物理网段或逻辑网段的集合，已经形成了区域边界安全防护、横向逻辑隔离、纵向的访问控制实体。广东电网公司东莞供电局的分域防护不仅实现了边界防护，而且体现了一组在网络、主机、应用等多个层次上深层防护措施。 2.1 承载的业务情况广东电网公司东莞供电局配网生产管理信息系统包括：主要实现设备台帐管理、功能位置管理、停电计划管理、巡检缺陷管理、两票流程管理、班组工作管理、供电可靠性等七个部分的业务功能，以及系统参数管理、业务流程管理和业务系统接口三部分系统功能。 2.2 网络结构广东电网公司东莞供电局配网生产管理信息系统，采用星型两级结构，用两台核心交换机作为网内所有网络设备的中心节点，采用光纤接入交换机，所有服务器接入核心交换机再接入内网的中心交换机，内网核心交换机与接入层之间均实现双机热备功能，确保内部网络的稳定性和可靠性。采用防火墙系统、入侵检测系统、内网安全保密、审计系统及网页防篡改来确保网络的安全。在各个边界都部署了防火墙，在与省网的接口处设置了一台网络审计系统。在搭建服务器的核心交换机上都部署了防火墙和IDS，两台交换机与接入层之间实现了双机热备，确保系统的稳定性。具体网络拓扑结构图如下： 2.3 系统构成 2.3.1 业务应用软件序号软件名称主要功能重要程度 1 配网生产管理信息系统主要实现设备台帐管理、功能位置管理、停电计划管理、巡检缺陷管理、两票流程管理、班组工作管理、供电可靠性等七个部分的业务功能；重要 2 weblogic 中间件重要 2.3.2 关键数据类别序号数据类别所属业务应用主机/存储设备重要程度 1 配网生产管理信息系统数据广东电网公司东莞供电局配网生产管理信息系统 Windows服务器重要 2 网络设备配置文件广东电网公司东莞供电局配网生产管理信息系统核心交换机重要 2.3.3 主机/存储设备序号设备名称操作系统/数据库管理系统业务应用软件重要程度 1 配网生产管理信息系统 Windows/Oracle weblogic 重要 2.3.4 网络互联设备序号设备名称用途重要程度 1 Cisco Catalyst 6509 IDC交换机重要 2 Cisco Catalyst 6509 广域网交换重要 2.3.5 安全设备序号设备名称用途重要程度 1 Nokia (CheckPoint)防火墙提供包过滤、内部网重要网段的隔离，访问控制ACL策略重要 2 启明星辰1000M IDS 内网安全风险管理与审计系统重要 2.3.6 安全相关人员序号姓名岗位/角色联系方式 1 邓雄荣安全专职 2 封祐均域控（安全）、防火墙管理员 3 谭华雄网络（安全）管理员 4 高承芳应用（安全）管理员 5 温兆聪主机、数据库管理员 2.3.7 安全管理文档序号文档名称用途重要程度 1 信息安全管理办法信息安全工作的总体方针政策文件，保证单位的信息系统的安全，结合公司信息系统建设的实际情况，制订的有关计算机、网络和信息安全的相关法规和安全制度重要 2 信息化工作管理办法信息化工作的具体管理办法重要 3 信息化规划管理办法信息化规划管理办法重要 4 数据处理与存储中心运行管理规定机房安全管理制度，重要 5 网络安全系统运行管理规定网络运行的管理制度重要 6 第三方安全管理规范V 对第三方人员访问的管理规范重要 7 介质安全管理规定保密移动存储介质的管理，确保档案信息的安全重要 8 数据加密保护管理规定对于数据加密保护等的详细规定重要 9 无线网络信息安全防护技术参考规范对无线网络的使用的详细规定重要 10 信息安全管理体系手册对信息安全工作各个方面实际情况，制定的关于各个方面的管理规定，包括系统、网络、设备、介质、人员等等重要 11 信息安全漏洞扫描及加固参考规范对系统漏洞的管理及发现漏洞后的加固参考规范重要 12 运维管理设备部署参考规范对设备部署的规定重要 13 运维管理设备管理策略要求对设备安全管理的策略重要 14 信息资产管理制度规范资产的管理重要 15 IDC机房安全管理制度机房管理重要 16 IDC网络系统应急预案 IDC网络系统应急预案重要 17 终端安全系统应急预案终端安全系统应急预案重要 18 防病毒系统应急预案防病毒系统应急预案重要 2.4 安全环境序号威胁分(子)类描述威胁赋值 1 设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷造等问题高 2 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等对信息系统正常运行造成影响的物理环境问题和自然灾害中 3 维护错误、操作失误等应该执行而没有执行相应的操作，或无意地执行了错误的操作中 4 管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等安全管理无法落实或不到位，从而破坏信息系统正常有序运行中 5 病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等故意在计算机系统上执行恶意任务的程序代码高 6 非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的职权，做出破坏信息系统的行为中 7 网络探测和信息采集、漏洞探测、嗅探（账户、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等利用工具和技术通过网络对信息系统进行攻击和入侵高 8 物理接触、物理破坏、盗窃等通过物理的接触造成对软件、硬件、数据的破坏低 9 内部信息泄露、外部信息泄露等信息泄露给不应了解的他人低 10 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用中 11 原发抵赖、接收抵赖、第三方抵赖等不承认收到的信息和所作的操作和交易低 2.5 前次测评情况无。 3 等级测评范围与方法 3.1 测评指标测评指标包括基本指标和特殊指标两部分。 3.1.1 基本指标依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级，选择《基本要求》中对应级别的安全要求作为等级测评的基本指标。鉴于信息系统的复杂性和特殊性（如某些信息系统未部署数据库服务器），基本指标中可能存在部分不适用项，可以在单元测评时进行识别。 3.1.2 特殊指标根据系统等级保护定级情况及办公业务平台环境，此次测评主要依据等级保护基本要求，不再增加特殊指标。测评指标技术/管理层面类数量 S类 (3级) A类 (3级) G类 (3级) 小计安全技术物理安全 1 1 8 10 网络安全 1 0 5 6 主机安全 2 1 3 6 应用安全 4 2 1 7 数据安全 2 1 0 3 安全管理安全管理机构 0 0 3 3 安全管理制度 0 0 5 5 人员安全管理 0 0 5 5 系统建设管理 0 0 9 9 系统运维管理 0 0 12 12 合计 66（类） 3.2 测评对象 3.2.1 测评对象选择方法在确定测评对象时，主要遵循以下原则： o 恰当性原则，选择的设备、软件系统等能满足相应等级的测评强度要求； o 重要性原则，抽查对被测系统来说重要的服务器、数据库和网络设备等； o 安全性原则，抽查对外暴露的网络边界； o 共享性原则，抽查共享设备和数据交换平台/设备； o 代表性原则，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。 3.2.2 测评对象选择结果 1) 机房序号机房名称物理位置 1 广东电网公司东莞供电局机房广东电网公司东莞供电局 2) 业务应用软件序号软件名称主要功能重要程度 1 配网生产管理信息系统主要实现设备台帐管理、功能位置管理、停电计划管理、巡检缺陷管理、两票流程管理、班组工作管理、供电可靠性等七个部分的业务功能；重要 2 weblogic 中间件重要 3) 主机（存储）操作系统序号设备名称操作系统/数据库管理系统业务应用软件重要程度 1 配网生产管理信息系统 Windows/Oracle weblogic 重要 4) 数据库管理系统序号数据类别所属业务应用主机/存储设备重要程度 1 配网生产管理信息系统数据广东电网公司东莞供电局配网生产管理信息系统 Windows服务器重要 2 网络设备配置文件广东电网公司东莞供电局配网生产管理信息系统核心交换机重要序号数据类别所属业务应用主机/存储设备重要程度 1 配网生产管理信息系统数据广东电网公司东莞供电局配网生产管理信息系统 Windows服务器重要 2 网络设备配置文件广东电网公司东莞供电局配网生产管理信息系统核心交换机重要 5) 网络互联设备操作系统序号设备名称用途重要程度 1 Cisco Catalyst 6509 IDC交换机重要 2 Cisco Catalyst 6509 广域网交换重要 6) 安全设备操作系统序号设备名称用途重要程度 1 Nokia (CheckPoint)防火墙提供包过滤、内部网重要网段的隔离，访问控制ACL策略重要 2 启明星辰1000M IDS 内网安全风险管理与审计系统重要 7) 访谈人员序号姓名岗位/角色联系方式 1 邓雄荣安全专职 2 封祐均域控（安全）、防火墙管理员 3 谭华雄网络（安全）管理员 4 高承芳应用（安全）管理员 5 温兆聪主机、数据库管理员 8) 安全管理文档序号文档名称用途重要程度 1 信息安全管理办法信息安全工作的总体方针政策文件，保证单位的信息系统的安全，结合公司信息系统建设的实际情况，制订的有关计算机、网络和信息安全的相关法规和安全制度重要 2 信息化工作管理办法信息化工作的具体管理办法重要 3 信息化规划管理办法信息化规划管理办法重要 4 数据处理与存储中心运行管理规定机房安全管理制度，重要 5 网络安全系统运行管理规定网络运行的管理制度重要 6 第三方安全管理规范V 对第三方人员访问的管理规范重要 7 介质安全管理规定保密移动存储介质的管理，确保档案信息的安全重要 8 数据加密保护管理规定对于数据加密保护等的详细规定重要 9 无线网络信息安全防护技术参考规范对无线网络的使用的详细规定重要 10 信息安全管理体系手册对信息安全工作各个方面实际情况，制定的关于各个方面的管理规定，包括系统、网络、设备、介质、人员等等重要 11 信息安全漏洞扫描及加固参考规范对系统漏洞的管理及发现漏洞后的加固参考规范重要 12 运维管理设备部署参考规范对设备部署的规定重要 13 运维管理设备管理策略要求对设备安全管理的策略重要 14 信息资产管理制度规范资产的管理重要 15 IDC机房安全管理制度机房管理重要 16 IDC网络系统应急预案 IDC网络系统应急预案重要 17 终端安全系统应急预案终端安全系统应急预案重要 18 防病毒系统应急预案防病毒系统应急预案重要 3.3 测评方法现场测评过程中将主要采用访谈、检查、测试等方法进行等级保护测评。 q 访谈现场测评时，通过与各相关部门人员进行交谈，主要是管理访谈，以收集测评证据。 q 检查现场测评时，检查工作主要包括： n 配置检查：通过对信息系统各平台的安全配置情况进行人工审计，以收集测评证据。 n 文档审阅：通过查阅文件及记录，以收集测评证据。 n 实地查看：通过实地观察基础设施及物理环境的现状，以收集测评证据。 q 测试现场测评时，测试工作主要包括： n 漏洞扫描：通过在网络环境中的不同节点中部署漏洞扫描工具，对信息系统进行全面的脆弱性扫描和测试，以收集测评证据。 n 技术性测试及验证：通过对信息系统进行针对性的技术性测试和验证，以收集测评证据。另外，在现场测评时，对于有疑义的问题，可采取跟踪验证的方式，以收集客观、真实的测评证据。 4 单元测评等级测评内容包括“3.1测评指标”中涉及的物理安全、网络安全、主机安全等10个安全分类，具体内容由结果记录、问题分析和结果汇总等三部分构成。 4.1 物理安全 4.1.1 结果记录序号测评指标现场测评记录(√) 要求项符合情况指标名称测评项 1 物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 (1) 机房和办公场地的环境条件 √ 防震 √ 防风 √ 防雨符合 2 物理访问控制 a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员； (1) 安全管理制度是否有关于机房出入方面的规定 √ 是 □ 否 (2) 是否专人值守 √ 是 □ 否 (3) 机房是否不存在专人值守之外的其他出入口 √ 存在 □ 不存在符合 b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。 (1) 是否有进入机房的审批记录 √ 是 □ 否 (2) 审批记录是否包括来访人员的访问范围 √ 是 □ 否符合 3 防盗窃和防破坏 a) 应将主要设备放置在机房内； (1) 关键设备是否放置在机房内或其它不易被盗窃和破坏的可控范围 √ 是 □ 否符合 b) 应将设备或主要部件进行固定，并设置明显的不易除去的标记； (1) 关键设备是否不易被移动或被搬走 √ 是 □ 否 (2) 关键设备是否设置不易被除去的标记 √ 是 □ 否符合 c) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； (1) 通信线缆是否铺设在隐蔽处 √ 是 □ 否符合 d) 应对介质分类标识，存储在介质库或档案室中； (1) 介质是否进行了分标识管理 √ 是 □ 否 (2) 介质是否存放在介质库或档案室 √ 是 □ 否符合 e) 主机房应安装必要的防盗报警设施。 (1) 关键设备放置位置是否安全可控 √ 是 □ 否 (2) 是否对机房安装防盗报警设施并定期进行维护检查 √ 是 □ 否 (3) 防盗报警设施是否正常运行 √ 是 □ 否 (4) 是否有运行和报警记录 √ 是 □ 否符合 4 防雷击 a) 机房建筑应设置避雷装置； (1) 是否有避雷装置 √ 是 □ 否 (2) 是否通过验收或国家有关部门的技术检测 √ 是 □ 否符合 b) 机房应设置交流电源地线。 (1) 机房建筑是否有交流地线 √ 是 □ 否符合 5 防火机房应设置灭火设备和火灾自动报警系统 (1) 是否设置了灭火设备 √ 是 □ 否 (2) 灭火设备是否合理 √ 摆放位置是否合理 √ 有效期是否合格 (3) 机房火灾自动报警系统是否正常工作 √ 是 □ 否 (4) 记录 √ 运行记录 √ 报警记录 √ 定期检查和维修记录符合 6 防水和防潮 a) 水管安装，不得穿过机房屋顶和活动地板下； (1) 水管安装是否避免穿过屋顶和活动地板下 √ 是 □ 否符合 b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； (1) 机房是否没有出现过漏水事件 √ 是 □ 否 (2) 是否经常检查上/下水管漏水情部况 √ 是 □ 否无形成记录 (3) 穿过主机房墙壁或楼板的管道 √ 是否配置套管 √ 管道与套管之间是否采用可靠的密封措施 (4) 漏水、渗透和返潮 √ 机房的窗户、屋顶和墙壁等是否未出现过漏水、渗透和返潮现象 √ 是否不存在明显的漏水和返潮的威胁 √ 能否及时修复解决符合 c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 (1) 在湿度较高的地区或季节是否有人负责机房防水防潮事宜，配备除湿装置 √ 是 □ 否 (2) 措施 √ 是否有湿度记录 √ 是否有除湿装置并能够正常运行 √ 是否有防止出现机房地下积水的转移和渗透的措施 □ 是否有防水防潮处理记录符合 7 防静电关键设备应采用必要的接地防静电措施。 (1) 防静电 √ 关键设备安全接地 √ 不存在明显的静电现象符合 8 温湿度控制机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 (1) 温湿度控制 √ 温湿度自动调节设施正常运行 √ 有温湿度记录、运行记录维护记录 √ 机房温湿度满足计算站场地的技术条件要求符合 9 电力供应 a) 应在机房供电线路上配置稳压器和过电压防护设备； (1) 电力供应情况 √ 计算机系统供电线路上的稳压器、过电压防护设备和短期备用电源设备正常运行 √ 各种设备的检查和维护记录符合 b) 应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。 (1)备用电力供应情况 √ 设置了短期备用电源设备 √ 供电时间满足系统关键设备最低电力供应需求符合 10 电磁防护电源线和通信线缆应隔离铺设，避免互相干扰。 (1) 电磁防护情况 √电源线和通信线缆隔离符合 4.1.2 结果汇总序号测评对象测评指标物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护 1 物理安全符合符合符合符合符合符合符合符合符合符合 0/1 0/2 0/5 0/2 0/1 0/3 0/1 0/1 0/2 0/1 4.1.3 问题分析针对物理安全测评结果中存在的部分符合项或不符合项加以汇总和分析，问题分析如下：无相关问题 4.2 网络安全 4.2.1 结果记录测评指标现场测评记录（√）要求项符合情况指标名称测评项结构安全 a) 应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； (1) 业务高峰流量情况 √满足需求 □不满足需求 (2) 网络设计/验收文档有关键网络设备业务处理能力满足业务高峰期需要的设计或说明。 √是 □否符合 b) 应保证接入网络和核心网络的带宽满足业务高峰期需要； (1) 网络中带宽控制情况 □使用带宽管理软件 □代理软件内置的带宽控制功能 □通过路由器控制带宽 √其他带宽充足 (2) 带宽分配的原则 □基于端口的划分 □基于MAC地址的划分 □基于路由的划分 √其他带宽充足 (3) 文档有接入网络及核心网络的带宽满足业务高峰期需要的设计或说明 √是 □否符合 c) 应绘制与当前运行情况相符的网络拓扑结构图； (1) 网络拓扑结构图与当前运行的实际网络系统是否一致 √是 □否符合 d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 (1) 网段划分情况 √网段起始地址 √子网数 22网段 □其他_____________ (2) 网段划分原则内部专用区，内部服务区，业务服务区，公共安全服务区，网络管理区，新规划网段 (3) 重要网段：内部专用区，内部服务区，业务服务区，公共安全服务区，网络管理区 (4) 网络设计/验收文档 √根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段的设计或描述 √按照方便管理和控制的原则为各子网和网段分配地址段的设计或描述符合访问控制 a) 应在网络边界部署访问控制设备，启用访问控制功能； (1)网络访问控制措施 √执行访问控制列表 √执行基于网络的访问控制 √限制远程连接 √限制无线接入并确保安全 √启用Internet协议安全规则 □其他 (2) 访问控制策略的设计原则通过防火墙设置访问控制列表，满足最小功能实现的设计原则 (3) 网络访问控制设备具备哪些访问控制功能网络访问控制具备VLAN间的互访控制；具备非法外

展开阅读全文